Apa yang terjadi ketika komputer bergabung dengan domain Direktori Aktif?

Perubahan apa yang diterapkan pada klien ketika bergabung dengan domain AD?

Bagaimana seharusnya anggota domain berperilaku ketika terputus ke jaringan? Apakah pengguna dapat masuk? Apakah kebijakan pengguna domain masih berlaku saat tidak terhubung?

Jika Anda mengetahui sumber daya komprehensif yang menyediakan pengantar komprehensif untuk Direktori Aktif, silakan posting mereka.

Terima kasih

Alasan Anda masih bisa masuk adalah karena akun Anda di-cache di komputer. Ini sebenarnya seharusnya bekerja seperti itu. Kalau tidak, Anda tidak akan pernah bisa menggunakan laptop dari jaringan tanpa memiliki akun lokal di dalamnya. Yang dalam suatu perusahaan akan menjadi mimpi buruk.

Saat Anda masuk ke domain, pertama kali sekelompok informasi tentang akun Anda dan haknya bersama dengan Obyek Kebijakan Grup (GPO) lainnya dikonfigurasikan. Itu sebabnya proses masuk pertama sangat lama.

Bergabung dengan komputer ke domain AD membuat akun di domain untuk komputer. Ini memungkinkan komputer ada sebagai individu yang dapat dikontrol, dikonfigurasikan, dikonfirmasi, di dalam domain. Ini berarti Anda dapat memaksakan kebijakan tentang segala hal mulai dari tampilan desktop hingga pembaruan windows ke apa pun yang dapat dikonfigurasi di windows ke klien, dan itu dapat diubah relatif terhadap pengguna yang masuk ke klien juga.

Berikut ini adalah dokumentasi Microsoft tentang cara masuk bekerja dengan artikel technet 2003 tentang masuk

Ketika komputer bergabung dengan domain Windows, segala macam hal terjadi. Yang paling penting:

• Akun pengguna di domain menjadi pengguna yang valid di sistem dan dapat masuk ke sana (kecuali ada pembatasan).
• Administrator domain memperoleh hak administratif pada sistem.
• Komputer itu sendiri mendapatkan akun di domain, dan menggunakannya untuk mengotentikasi terhadap komputer lain.
• Akun pengguna lokal tetap aktif dan masih dapat digunakan untuk masuk ke sistem; mereka tidak dikenali oleh komputer lain di domain.
• Nama komputer terdaftar di DNS domain (jika mendukung pembaruan dinamis, yang seharusnya).
• Kebijakan Grup yang ditentukan dalam domain dan ditargetkan ke komputer memengaruhi sistem.
• Kebijakan grup yang ditentukan dalam domain dan ditargetkan untuk pengguna memengaruhi pengguna domain apa pun yang masuk ke komputer.

Ketika komputer adalah anggota dari suatu domain tetapi tidak dapat terhubung ke pengontrol domain, itu tidak dapat memvalidasi kredensial pengguna, sehingga setiap masuk domain akan gagal; pengecualiannya adalah pengguna yang masuk terakhir kali, yang secara default di-cache dan diingat, dan masih dapat berhasil masuk. Jadi, jika pengguna yang terakhir kali masuk adalah DOMAIN \ UserA, logon terputus dengan akun pengguna yang sama akan berhasil, tetapi log masuk dengan, katakanlah, DOMAIN \ UserB akan gagal. (Perilaku ini dapat dikonfigurasi melalui kebijakan).

Kebijakan Grup tetap diterapkan bahkan dalam skenario terputus.

1. Klien menjadi komputer domain, bukan komputer workgroup mandiri
2. Anda masih bisa masuk ke workstation ketika Anda menarik kabel jaringan karena pengaturan yang ditentukan oleh Kebijakan Grup. Pengaturan ini ( Kebijakan Komputer-Pengaturan Windows-Kebijakan Lokal-Opsi Keamanan ) disebut Log Masuk Interaktif: Jumlah log masuk sebelumnya ke cache (jika pengontrol domain tidak tersedia) menyebabkan perilaku ini, dan itu adalah dengan desain.
3. Saat Anda mencabut kabel, jika pengguna masuk dengan akun domain yang sebelumnya masuk ke workstation itu, mesin akan mengembalikan set terakhir Kebijakan Grup yang dimilikinya ketika pengontrol domain tersedia.
4. Keamanan kredensial dalam cache di Windows